DragonForce ya no busca ser una banda más de ransomware. Su objetivo es convertirse en la infraestructura que permita a múltiples grupos lanzar ataques bajo sus propias marcas, impulsando una nueva etapa del cibercrimen organizado.
A finales de 2025, desde ESET habíamos analizado las tres tendencias a seguir de cerca en 2026. Respecto al ransomware, intuíamos: “No desaparecerá, seguirá reinventándose”.
Lo que está sucediendo con DragonForce lo confirma, porque más que una nueva banda de ransomware, representa la consolidación de una tendencia: el paso del ransomware como malware al ransomware como plataforma de servicios criminalces. Los primeros registros de actividad de DragonForce se remontan a la segunda mitad de 2023. Y pasó de ser un grupo de ransomware as a service a adoptar un modelo que sus operadores describen como un "cartel".
¿Qué significa? DragonForce hoy ofrece toda la infraestructura para que otros grupos operen bajo su plataforma: paneles de administración, sitios de filtración, sistemas de negociación y herramientas para administrar víctimas. También cuentan con soporte técnico para afiliados.
A continuación, analizaremos la evolución de DragonForce, cómo evolucionó hasta convertirse en una plataforma criminal para múltiples grupos afiliados, cómo potencia al ecosistema del cibercrimen y qué alertas levanta para las empresas.
¿Qué es DragonForce?
DragonForce apareció en la escena del cibercrimen durante la segunda mitad de 2023 como un grupo de ransomware as a service. Su primera actividad registrada data de diciembre de 2023, y a partir de esa fecha (y hasta el momento), acumula casi 600 víctimas en más de 60 países según los registros públicos recopilados por ransomware.live.
Si bien Estados Unidos es su principal objetivo de ataque (con casi 300 incidentes registrados), también contabiliza víctimas en Canadá, Australia y el Reino Unido, entre tantos otros. A nivel regional, en Latinoamérica contabiliza ataques en Brasil, Argentina, Colombia, México, Costa Rica, Guatemala y República Dominicana.
Para 2025, tras las operaciones de desmantelamiento de LockBit y otros grupos de ransomware, DragonForce elevó su perfil con una estrategia agresiva para reclutar afiliados. ¿Cómo? Ofreciendo no solo el malware y la infraestructura necesarios para lanzar ataques, sino también mejores porcentajes de ganancia (cercanos al 80% en algunos casos) y mayores niveles de anonimato. Aunque lo realmente novedoso llegaría después.
La evolución: de RaaS a autodenominarse "cartel"
En 2025, DragonForce comenzó a autodefinirse como un cartel. Lejos de ser simplemente una declaración al azar, se trató de una evolución profunda, que además contribuyó a redefinir el panorama del ransomware.
DragonForce dejó de exigir a sus afiliados que utilicen su ransomware, y comenzó a ofrecerles un paquete mucho más completo: toda una infraestructura para que los grupos puedan operar bajo su plataforma, con paneles de administración, sitios de filtración, sistemas de negociación, herramientas para administrar víctimas y hasta soporte técnico.
Entre sus servicios se destacan el análisis de datos para extorsión —una especie de auditoría de toda la información robada a las víctimas— y la entrega de un "kit de extorsión" con listas de contactos telefónicos para presionar a directivos y detalles sobre el posible impacto regulatorio que podría sufrir la empresa si no paga el rescate.
En el nuevo ecosistema del ransomware, las bandas ya no solo compiten por víctimas y afiliados, sino también por la reputación y el control de la infraestructura. Allí DragonForce busca posicionarse como un cartel que proporciona todo lo necesario para sostener a múltiples grupos de ransomware, pero sin que estos pierdan su identidad.
Uno de los elementos que hace posible esta estrategia es el modelo de negocio White-Label, en el que otros grupos pueden usar su infraestructura, pero manteniendo su "marca". Este, sin dudas, es su gran diferencial.
El modelo White-Label: la clave de DragonForce
El ya mencionado modelo de negocio White-Label es una de las grandes claves para el crecimiento y evolución de este grupo de ransomware.
Lejos de obligar a sus afiliados a que utilicen la marca DragonForce, los incentivan a que mantengan su identidad y creen sus sellos criminales independientes, pero utilizando tanto la infraestructura, como las herramientas y soporte técnico de DragonForce.
En otras palabras, es uno de los ejemplos más claros de la evolución del modelo RaaS, porque ya no vende únicamente ransomware, sino una infraestructura completa dedicada al cibercrimen.
Esto se traduce en que un afiliado puede utilizar los servidores, aprovechar el panel de negociación, beneficiarse del sitio de filtración de datos o apoyarse en el soporte técnico, pero sin la necesidad de firmar sus ataques como DragonForce. Así, la víctima puede no advertir que detrás del ataque está la infraestructura de DragonForce.
¿Cómo afecta esto a la seguridad de las empresas?
DragonForce hoy proporciona un ecosistema para que puedan operar diversos grupos cibercriminales, lo cual puede tener un impacto claro y directo para la seguridad de las empresas.
En principio, porque un actor malicioso con pocos conocimientos técnicos puede lanzar su "marca" de ransomware sin tener que desarrollar malware ni contar con una infraestructura propia desde cero. Esto acelera la profesionalización y expansión del cibercrimen.
A su vez, se dificulta la atribución de los ataques. En este escenario, dos grupos distintos pueden compartir herramientas y servidores, haciendo más complejo quién está realmente detrás del ataque. Y también hace que el ecosistema criminal sea más resiliente, porque si una banda es desmantelada, otra puede ocupar rápidamente su lugar utilizando esa misma infraestructura.
Por otro lado, DragonForce no solo proporciona ransomware, sino que pone a disposición de sus afiliados diversos servicios adicionales, como el análisis de los datos robados y kits de presión. Esto no solo aumenta las probabilidades de que las víctimas paguen, sino que también eleva el nivel de sofisticación de las campañas de extorsión.
Pensamientos finales
En resumen, el verdadero riesgo de DragonForce no es la aparición de un nuevo ransomware, sino de un modelo de negocio criminal, que convierte al ransomware en un servicio escalable, descentralizado y mucho más difícil de desmantelar.
Y si bien el ransomware de la última década estuvo dominado por grandes bandas, la próxima etapa podría estar definida por plataformas criminales capaces de sostener a decenas de grupos distintos. DragonForce es, probablemente, el ejemplo más claro de esa transformación.







